第5章WindowsServer2003网络安全.ppt

第5章WindowsServer2003网络安全 5 1WindowsServer2003网络安全特性 MicrosoftWindowsServer2003是在WindowsServer2000的基础上 依据 NET架构进行构建 提供了更高更好的安全性 稳定性和可伸缩性 为服务器提供了一个高效的结构平台 5 1 1WindowsServer2003简介 WindowsServer2003主要优点有 可靠 WindowsServer2003是迄今为止提供的最快 最可靠和最安全的Windows服务器操作系统 高效 WindowsServer2003提供各种工具 允许用户部署 管理和使用网络结构以获得最大效率 联网 连接WindowsServer2003可以帮助用户创建业务解决方案结构 以便与雇员 合作伙伴 系统和用户更好地沟通 经济 与来自微软公司的许多硬件 软件和渠道合作伙伴的产品和服务相结合 WindowsServer2003提供了有助于使用户的结构投资获得最大回报的选择 WindowsServer2003的核心技术 可靠性高效率联网能力可拥有成本低 XMLWeb服务和 NET WindowsServer2003新增的安全功能 授权管理器 存储用户名和密码 软件限制策略 证书颁发机构 受限委派 有效权限工具 加密文件系统 EFS 基于操作的审核 5 1 2WindowsServer2003安全概述 WindowsServer2003系统的安全模型的主要功能是用户身份验证和访问控制及ActiveDirectory目录服务 身份验证 身份验证 指的是用于验证实体或对象是否与自己所声明的实体或对象相同的过程 包括确认信息的来源和完整性 身份验证是系统安全的一个基础方面 它将对尝试登录到域或访问网络资源的任何用户进行身份确认 身份验证包括两种方式 交互式登录 向用户的本地计算机或ActiveDirectory帐户确认用户的身份 网络身份验证 向用户尝试访问的任何网络服务确认用户的身份 基于对象的访问控制 访问控制 指的是批准用户 组和计算机访问网络上的对象的过程 访问控制主要内容是权限 用户权利和对象审查 权限 权限定义了授予用户或组对某个对象或对象属性的访问类型 用户权利 用户权利授予计算环境中的用户和组特定的特权和登录权利 对象审核 可以审核用户对对象的访问情况 可以使用事件查看器在安全日志中查看这些与安全相关的事件 ActiveDirectory目录服务 ActiveDirectory是基于Windows的目录服务 ActiveDirectory存储有关网络上对象的信息 并让用户和网络管理员可以使用这些信息 ActiveDirectory允许网络用户使用单个登录进程来访问网络中任意位置的许可资源 5 2WindowsServer2003用户安全策略 在WindowsServer2003中 安全设置和安全策略是配置在一台或多台计算机上的规则 用于保护计算机或网络上的资源 用户或计算机帐户 在ActiveDirectory中 用户帐户和计算机帐户代表物理实体 用户帐户和计算机帐户 以及组 也称为安全主体 是被自动指派了安全标识符 SID 可用于访问域资源 的目录对象 用户或计算机帐户用于 验证用户或计算机的身份 用户帐户使用户能够利用经域验证后的标识登录到计算机和域 授权或拒绝访问域资源 一旦用户已经过身份验证 那么就可以根据指派给该用户的关于资源的显式权限 授予或拒绝该用户访问域资源 管理其他安全主体 ActiveDirectory在本地域中创建外部安全主体对象 用以表示信任的外部域中的每个安全主体 审核使用用户或计算机帐户执行的操作 审核有助于监视帐户的安全性 5 2 1WindowsServer2003帐户策略和本地策略 帐户策略包含 密码策略 用于域或本地用户帐户 帐户锁定策略 用于域或本地用户帐户 Kerberos策略 用于域用户帐户 本地策略 主要应用于本地计算机 包含 审核策略 确定是否将安全事件记录到计算机上的安全日志中 同时也确定是否记录登录成功或登录失败 或二者都记录 用户权限分配 确定具有登录本地计算机的权利或特权的用户或组 安全选项 启用或禁用计算机的安全设置 在 组策略 中设置本地策略 单击 开始 运行 在文本框中输入 gpedit msc 打开 组策略 窗口 在其中依次单击展开 计算机配置 Windows设置 安全设置 本地策略 安全选项 文件夹 在其中可以进行本地策略的各种安全设置 5 2 2WindowsServer2003帐号密码策略 安全的计算机需要对所有用户帐户都使用强密码 对于强密码 一般都具有这样的特性 长度至少有七个字符 不包含用户名 真实姓名或公司名称 不包含完整的字典词汇 与先前的密码大不相同 同时 强密码的组成包含全部下列四组字符类型 大写字母小写字母数字键盘上的符号 键盘上所有未定义为字母和数字的字符 密码重设盘 管理员恢复被忘记的本地用户帐户密码的唯一方法只有手工重设用户的密码 但该操作会造成以下信息的丢失 使用用户公钥加密的电子邮件计算机中保存的Internet密码由用户加密的文件 密码重设盘 如果用户在忘记密码之前为自己的本地帐户创建了密码重设盘 则可以重设密码而不会丢失先前因管理员重设密码而丢失的宝贵数据 如何创建密码重设盘 第一步 按 Ctrl Alt Del 然后单击 更改密码 按钮 第二步 在 用户名 文本框中 输入要创建密码重设盘的帐户的用户名 第三步 在 登录到 下列框中选择输入的帐户需要登陆的计算机名称 然后单击 备份 按钮 第四步 按照 忘记密码向导 窗口中的步骤进行操作 直至完成操作 最后将密码重设盘保存在安全的地方 设置帐户密码策略 密码策略作用于域帐户或本地帐户 包含以下几个方面 强制密码历史密码最长使用期限密码最短使用期限密码长度最小值密码必须符合复杂性要求用可还原的加密来存储密码 设置帐户密码策略 设置域控制器的密码策略设置域成员服务器或工作站的密码策略设置本地的密码策略帐户锁定策略 5 2 3KerberosV5身份验证 KerberosV5是在域中进行身份验证的主要安全协议 KerberosV5协议同时要验证用户的身份和网络服务 这种双重验证称为 相互身份验证 KerberosV5身份验证工作过程 KerberosV5身份验证过程 客户端系统上的用户使用密码或智能卡向KDC进行身份验证 KDC为此客户颁发一个特别的票证授予式票证 客户端系统使用TGT访问票证授予服务 TGS 这是域控制器上的KerberosV5身份验证机制的一部分 TGS接着向客户颁发服务票证 客户向请求的网络服务出示服务票证 服务票证向此服务证明用户的身份 同时也向该用户证明服务的身份 KerberosV5策略 Kerberos策略不存在于本地计算机策略中 它仅出现在加入到域中的计算机策略安全设置中 主要包含 强制用户登录限制 默认值 已启用 服务票证最长寿命 默认值 600分钟 10小时 用户票证最长寿命 默认值 10小时 用户票证续订最长寿命 默认值 7天 计算机时钟同步的最大容差 默认值 5分钟 5 3用户权限设置 这里所介绍的用户及权限 主要针对的是本地用户及其权限 本地用户位于独立服务器的计算机管理中 用户可以使用本地用户保护并管理存储在本地计算机上的用户账户 可以在特定计算机和仅这台计算机上指派本地用户账户的权限和权利 通过本地用户 可以为用户和组指派权利和权限 从而限制了用户和组执行某些操作的能力 5 3 1WindowsServer2003内置帐户及组 Administrator账户 Administrator账户具有对服务器的完全控制权限 并可以根据需要向用户指派用户权利和访问控制权限 Guest账户 Guest账户由在这台计算机上没有实际账户的用户使用 HelpAssistant账户 与远程协助会话一起安装 HelpAssistant账户用于建立远程协助会话的主账户 组 组是WindowsServer2003中对用户账号的一种逻辑单位 将具有相同特点和属性的用户组合成一个组 其目的是方便管理和使用 组 独立服务器上的组又称为本地组 WindowsServer2003内置本地组主要包括 Administrators组 该组的成员具有对服务器的完全控制权限 并且可以根据需要向用户指派用户权利和访问控制权限 BackupOperators组 该组的成员可以备份和还原服务器上的文件 而不管保护这些文件的权限如何 Guests组 该组的成员拥有一个在登录时创建的临时配置文件 在注销时 该配置文件将被删除 PowerUsers组 该组的成员可以创建用户账户 然后修改并删除所创建的账户 RemoteDesktopUsers组 该组的成员可以远程登录服务器 允许通过终端服务登录 Users组 该组的成员可以执行一些常见任务 5 3 2用户权限设置 用户权限是允许用户在计算机系统或网络中执行任务 用户权限分配则是确定哪些用户或组具有这些权限 在 组策略编辑器 中设置用户权限 单击 开始 运行 在文本框中输入 gpedit msc 单击 确定 按钮打开 组策略编辑器 窗口 在其中依次单击展开 计算机配置 Windows设置 安全设置 本地策略 用户权限分配 文件夹 在其中进行本地用户权限的各种安全设置 在 组策略编辑器 中设置用户权限 5 4WindowsServer2003远程连接安全设置 远程用户通过远程连接进入内部网络的手段包括 通过拨号网络连接到内部网络中 通过虚拟专用网连接到内部网络中 5 4 1特殊共享资源安全设置 特殊共享资源包括 driveletter 允许管理人员连接到驱动器根目录下的共享资源 ADMIN 计算机远程管理期间使用的资源 IPC 共享命名管道的资源 NETLOGON 域控制器上使用的所需资源 SYSVOL 域控制器上使用的所需资源 PRINT 远程管理打印机过程中使用的资源 FAX 传真客户端在发送传真的过程中 所使用的服务器上的共享文件夹 删除特殊共享资源 命令 netsharesharename delete共享资源 IPC 不能被 netshare 命令删除掉 须利用WindowsServer2003的注册表编辑器来对它进行禁用 打开注册表编辑器 找到组键 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control Lsa 中的 restrictanonymous 子键 将其值改为1即可禁用IPC连接 如没有这个组键 则新建它 5 4 2帐户安全设置 WindowsServer2003提供的远程访问服务 往往都是通过用户帐户来进行身份验证 只要通过帐户认证 远程连接者就可以接入到本地网络中 攻击者可以通过扫描Administrator帐户和Guest帐户以期获得系统的控制权 改名Administrator帐户 第一步 鼠标右键单击 我的电脑 在弹出的菜单中选择 管理 出现 计算机管理 窗口 改名Administrator帐户 第二步 在 计算机管理 左侧窗口中展开 系统工具 本地用户和组 文件夹 选择 用户 文件夹 这时在 计算机管理 右侧窗口中将显示出本地的所有帐户 改名Administrator帐户 第三步 单击 administrator 帐户 在弹出的菜单中选择 重命名 重新输入帐户 administrator 的名字即可 禁用Guest帐户 第一步 鼠标右键单击 我的电脑 在弹出的菜单中选择 管理 打开 计算机管理 窗口 第二步 在 计算机管理 左侧窗口中展开 系统工具 本地用户和组 文件夹 选择 用户 文件夹已显示本地的所有帐户 第三步 双击 guest 帐户 出现 guest属性 对话框 在其中选中 帐户已停用 复选框 这样就使得 guest 帐户被停用了 guest属性 对话框 5 4 3远程桌面安全设置 使用 远程桌面连接 可以很容易地连接到终端服务器或其他运行远程桌面的计算机 操作者所需要的就是这台计算机的IP地址以及网络访问与连接到这台计算机的权限 为保证管理员能够利用 远程桌面连接 来对服务器进行管理 管理员应该为 远程桌面连接 设置能够访问的帐户名 5 4 4关闭远程访问注册表服务 远程访问注册表为系统管理员进行远程管理提供了方便 攻击者可以利用扫描器通过远程访问注册表读取计算机的系统信息及其它信息 5 5WindowsServer2003数字证书 通过WindowsServer2003提供的CA服务 企业可以为用户颁发各种电子证书 而每个用户或本地计算机上都有自己的一个证书管理器 用来存放和管理自己从CA申请获得的证书 也有自己所信任的CA的根证书 5 5 1证书及证书服务概述 证书 通常是用于身份验证及保证公开网络上信息安全性的数字文档 证书将公钥安全地绑定到持有相应私钥的实体中 通常 证书包含以下信息 主题的公钥值 主题标识符信息 如名称和电子邮件地址 有效期 证书的有效时间 颁发者标识符信息 颁发者的数字签名 用来证明主体的公钥和主体的标识符信息之间的绑定关系是否有效 证书只有在指定的期限内才有效 每个证书都包含有效期的起止日期 它们是有效期的界限 证书 证书的主要好处之一是主机不必再为单个主题维护一套密码 这些单个主题进行访问的先决条件是需要通过身份验证 因为证书通常用来为实现安全的信息交换建立身份并创建信任 所以证书颁发机构 CA 可以把证书颁发给人员 设备和计算机上运行的服务 证书服务 证书服务提供了一种可自定义的服务 用以颁发和管理在使用公钥技术的软件安全系统中所用的证